SELinux需配置为强制模式以提升安全性,先用sestatus查看状态,setenforce 1临时启用,再修改/etc/selinux/config中SELINUX=enforcing实现永久启用,重启后生效,并通过ausearch、semanage等工具处理拒绝事件,确保服务正常。
SELinux(Security-Enhanced Linux)是Linux系统中一个强大的强制访问控制(MAC)机制,能显著提升系统的安全性。默认情况下,某些发行版可能将其禁用或设置为宽容(Permissive)模式。要真正发挥其保护作用,需要正确启用并配置为强制(Enforcing)模式。
检查当前SELinux状态
在修改配置前,先确认SELinux当前的运行状态:
sestatus该命令会输出类似以下信息:
- SELinux status: enabled
- SELinuxfs mount: /sys/fs/selinux
- Current mode: permissive
- Mode from config file: enforcing
重点关注Current mode和Mode from config file。前者表示当前运行模式,后者是配置文件中设定的模式。
临时启用SELinux强制模式
如果当前处于宽容模式(Permissive),可临时切换到强制模式(Enforcing),无需重启:
sudo setenforce 1其中:
- setenforce 0:切换为宽容模式(仅记录违规,不阻止)
- setenforce 1:切换为强制模式(记录并阻止违规操作)
注意:此更改在重启后失效,适用于测试策略效果。
永久启用SELinux并设置强制模式
要永久启用并配置SELinux,需修改其主配置文件:
sudo vi /etc/selinux/config确保文件中包含以下设置:
- SELINUX=enforcing — 启用强制模式
- SELINUXTYPE=targeted — 使用目标策略(推荐,对常用服务进行保护)
保存退出后,重启系统使配置生效:
sudo reboot处理SELinux拒绝事件
启用强制模式后,部分服务可能因权限问题无法启动。可通过以下方式排查:
- 查看拒绝日志:sudo ausearch -m avc -ts recent
- 生成可读报告:sudo semanage log -o /var/log/selinux.log
- 使用restorecon修复文件上下文:sudo restorecon -R /var/www/html
- 必要时添加自定义策略:audit2allow -a 分析日志并生成策略模块
基本上就这些。启用SELinux后建议保持观察一段时间,确保关键服务正常运行。合理配置下,SELinux能有效阻止未授权访问和提权攻击。
